Dans un billet publié le 30 juillet, Google explique que Chrome 127 contient une amélioration pour la protection des cookies sur Windows. Le système propose en effet une API dédiée pour la protection de ce type de données (DPAPI). Cependant, elle ne le fait qu’au repos ou contre les attaques par démarrage à froid.
Dans son billet, Google indique que l’API Data Protection ne peut rien contre les applications malveillantes capables d’exécuter du code en tant qu’utilisateur connecté. Si une telle application réussit à s’exécuter sur la machine, les données sont en danger.
Chrome 127 ajoute donc une nouvelle couche de protection pour les cookies. Ces derniers sont désormais chiffrés avec l’identité de l’application. Google dit avoir intégré des primitives de chiffrement liées à Chrome (App-Bound Encryption).
Google précise que le mécanisme possède des privilèges système. Un logiciel malveillant tentant l’opération avec les droits utilisateur classiques ne pourra pas récupérer les informations. Il lui faudra soit élever ses propres privilèges (plus difficile) soit tenter une injection de code dans Chrome. L’éditeur ajoute que cette dernière opération rendrait le logiciel suspect (Google parle de « bruit ») pour les antivirus et autres solutions de sécurité.
Avec les autres protections mises en place, Google veut augmenter le coût et le risque de détection pour les attaquants. En outre, si Chrome 127 protège les cookies avec ce mécanisme, tous les autres secrets stockés dans le navigateur y passeront également dans les prochaines moutures. Ce sera notamment le cas des mots de passe.
Selon Google, cette nouvelle protection est particulièrement efficace en entreprise, où les droits des applications sont strictement contrôlés.